確定傳輸路徑和更新acl的方法及設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域���,特別涉及確定傳輸路徑和更新ACL的方法及設(shè) 備����。
【背景技術(shù)】
[0002] 在計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域中���,防火墻由軟件和硬件設(shè)備組合而成���,是一種協(xié)助確保信息 安全以及保護(hù)網(wǎng)絡(luò)免受非法用戶的侵入的設(shè)備,包括服務(wù)訪問規(guī)則�����、驗(yàn)證工具�����、包過濾和應(yīng) 用網(wǎng)關(guān)4個(gè)部分�。
[0003] 防火墻是在網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,它通過訪問控制列表定義可以 訪問計(jì)算機(jī)的數(shù)據(jù)包�����。它可以設(shè)定運(yùn)行通過的數(shù)據(jù)包�����,也可以設(shè)定不允許通過的數(shù)據(jù)包��,還 可以阻止網(wǎng)絡(luò)中的惡意訪問�。
[0004] 在SDN(Software Defined Network,軟件定義網(wǎng)絡(luò))中,為了保護(hù)信息安全�����,允許或 是限制傳輸?shù)臄?shù)據(jù)通過��,防火墻是必不可少的?,F(xiàn)有技術(shù)中SDN網(wǎng)絡(luò)中內(nèi)部防火墻的技術(shù) 方案如下:
[0005] 預(yù)先在防火墻上配置好基于端口、協(xié)議等信息的安全策略���;當(dāng)主機(jī)需要通信時(shí)�����,將 數(shù)據(jù)包發(fā)送給直連的交換機(jī)����,通過交換機(jī)再上報(bào)給控制器;控制器計(jì)算轉(zhuǎn)發(fā)路徑��,給交換機(jī) 下發(fā)經(jīng)過防火墻的路徑����;防火墻對(duì)所有流入的數(shù)據(jù)包根據(jù)已有的安全策略進(jìn)行處理。
[0006] 也就是說(shuō)現(xiàn)有技術(shù)中����,所有消息也都要發(fā)送給防火墻進(jìn)行檢測(cè),容易導(dǎo)致防火墻 負(fù)載壓力過大���,使得消息無(wú)法進(jìn)行正常傳輸����。
[0007] 綜上所述���,目前由于所有消息都要發(fā)送給防火墻進(jìn)行檢測(cè)�����,使得防火墻負(fù)載壓力 過大�。
【發(fā)明內(nèi)容】
[0008] 本發(fā)明提供一種確定傳輸路徑和更新ACL的方法及設(shè)備,用以解決現(xiàn)有技術(shù)中存 在的目前由于所有消息都要發(fā)送給防火墻進(jìn)行檢測(cè)����,使得防火墻負(fù)載壓力過大的問題。
[0009] 本發(fā)明實(shí)施例提供了一種確定傳輸路徑的方法����,包括:
[0010] 控制器在接收到由發(fā)送端發(fā)送的用于申請(qǐng)進(jìn)行通信的請(qǐng)求信息后�,根據(jù)所述請(qǐng)求 信息,從第一訪問控制列表ACL中確定請(qǐng)求信息的傳輸規(guī)則信息���;
[0011] 所述控制器根據(jù)所述傳輸規(guī)則信息����,在確定發(fā)送端能夠?qū)⑾l(fā)送給接收端后��, 確定發(fā)送端到接收端的傳輸路徑�;
[0012] 所述控制器將所述傳輸路徑通知給傳輸路徑中的交換機(jī)。
[0013] 由于在控制器中增加了能夠?qū)Πl(fā)送端發(fā)送的用于申請(qǐng)通信的請(qǐng)求信息進(jìn)行檢測(cè) 的第一 ACL�,使得控制器能夠根據(jù)ACL中配置相應(yīng)信息確定請(qǐng)求信息的傳輸規(guī)則信息,從而 降低了防火墻的負(fù)載壓力�����。
[0014] 較佳地,所述控制器在接收到由發(fā)送端發(fā)送的用于申請(qǐng)進(jìn)行通信的請(qǐng)求信息后�, 還包括:
[0015] 所述控制器根據(jù)所述請(qǐng)求信息無(wú)法從所述第一 ACL中確定請(qǐng)求信息的傳輸規(guī)則 信息,將所述請(qǐng)求信息發(fā)送給防火墻����;
[0016] 所述控制器在接收到所述防火墻發(fā)送的所述請(qǐng)求信息的傳輸規(guī)則信息后,根據(jù)所 述請(qǐng)求信息的傳輸規(guī)則信息更新所述第一 ACL�,從所述第一 ACL中確定請(qǐng)求信息的傳輸規(guī) 則信息;
[0017] 所述控制器根據(jù)所述傳輸規(guī)則信息�,在確定發(fā)送端能夠?qū)⑾l(fā)送給接收端后, 確定發(fā)送端到接收端的傳輸路徑����;
[0018] 所述控制器將所述傳輸路徑通知給傳輸路徑中的交換機(jī)。
[0019] 由于控制器在不能確定請(qǐng)求信息的傳輸規(guī)則信息時(shí)���,將其發(fā)送給防火墻進(jìn)行檢測(cè) 確定請(qǐng)求信息的傳輸規(guī)則信息�����,從而降低了防火墻的負(fù)載壓力����。
[0020] 較佳地����,所述控制器在接收到來(lái)自所述防火墻的所述請(qǐng)求信息的傳輸規(guī)則信息 后��,還包括:
[0021 ] 若所述防火墻未通過第二ACL發(fā)送請(qǐng)求信息的傳輸規(guī)則信息����,所述控制器將所述 請(qǐng)求信息以及收到的所述請(qǐng)求信息的傳輸規(guī)則信息置于所述第一 ACL中����;或
[0022] 若所述防火墻通過第二ACL發(fā)送請(qǐng)求信息的傳輸規(guī)則信息��,所述控制器根據(jù)收到 的第二ACL更新第一 ACL�����。
[0023] 由于控制器根據(jù)防火墻更新后的第二ACL或傳輸規(guī)則信息更新第一 ACL�,使得控 制器在收到相同的請(qǐng)求信息后就能直接根據(jù)第一 ACL確定該請(qǐng)求信息的傳輸規(guī)則信息,并 根據(jù)確定的傳輸規(guī)則信息確定傳輸路徑�����,使得控制器能夠根據(jù)不同的請(qǐng)求信息確定不同的 傳輸路徑��,進(jìn)一步地降低了防火墻的負(fù)載壓力���。
[0024] 較佳地����,所述控制器根據(jù)下列方式判斷是否允許發(fā)送端將消息發(fā)送給接收端:
[0025] 若所述傳輸規(guī)則信息為允許請(qǐng)求或安全請(qǐng)求,所述控制器確定允許發(fā)送端將消息 發(fā)送給接收端���;
[0026] 若所述傳輸規(guī)則信息為可疑請(qǐng)求��,所述控制器將所述請(qǐng)求信息發(fā)送給防火墻���,并 根據(jù)所述防火墻的通知確定是否允許發(fā)送端將消息發(fā)送給接收端;
[0027] 若所述傳輸規(guī)則信息為拒絕請(qǐng)求�����,所述控制器確定不允許發(fā)送端將消息發(fā)送給接 收端���。
[0028] 由于控制器能夠在接收到請(qǐng)求信息時(shí)���,對(duì)請(qǐng)求信息進(jìn)行初步的判斷,從而使得控 制器能夠根據(jù)不同的傳輸規(guī)則信息確定消息的最有傳輸路徑����。
[0029] 較佳地���,若所述傳輸規(guī)則信息為允許請(qǐng)求或所述傳輸規(guī)則信息為可疑請(qǐng)求且根據(jù) 所述防火墻的通知允許發(fā)送端將消息發(fā)送給接收端,則所述傳輸路徑中包括防火墻���;
[0030] 若所述傳輸規(guī)則信息為安全請(qǐng)求����,則所述傳輸路徑中不包括防火墻���。
[0031] 由于控制器能夠根據(jù)不同的傳輸規(guī)則信息��,確定不同的傳輸路徑,從而降低了防 火墻的負(fù)載壓力��。
[0032] 較佳地�,所述控制器將所述傳輸路徑通知給傳輸路徑中的交換機(jī)之后,還包括:
[0033] 所述控制器在接收到防火墻發(fā)送的更新的傳輸規(guī)則信息后��,根據(jù)所述更新的傳輸 規(guī)則信息更新第一 ACL ;
[0034] 所述控制器根據(jù)更新后的第一 ACL���,重新確定所述請(qǐng)求信息的傳輸規(guī)則信息���;
[0035] 所述控制器根據(jù)所述傳輸規(guī)則信息����,在確定發(fā)送端能夠?qū)⑾l(fā)送給接收端后�����, 確定發(fā)送端到接收端的傳輸路徑��;
[0036] 所述控制器將所述傳輸路徑通知給傳輸路徑中的交換機(jī)���。
[0037] 由于請(qǐng)求消息的傳輸規(guī)則信息根據(jù)需要能夠動(dòng)態(tài)的改變���,從而使得控制能夠根據(jù) 傳輸規(guī)則信息動(dòng)態(tài)的確定傳輸路徑。
[0038] 較佳地���,所述控制器將所述傳輸路徑通知給傳輸路徑中的交換機(jī)之后��,接收到防 火墻通知的所述請(qǐng)求信息的更新傳輸規(guī)則信息之前�����,還包括:
[0039] 所述控制器對(duì)發(fā)送端和接收端之間傳輸?shù)乃稣?qǐng)求信息對(duì)應(yīng)的消息進(jìn)行抽樣��,并 將抽樣后的所述請(qǐng)求信息對(duì)應(yīng)的消息發(fā)送到防火墻��。
[0040] 由于采用對(duì)傳輸?shù)南⑦M(jìn)行抽樣的機(jī)制�����,從而進(jìn)一步保證了消息傳輸?shù)陌踩浴?br>[0041] 較佳地����,所述控制器根據(jù)更新后的第一 ACL,重新確定所述請(qǐng)求信息的傳輸規(guī)則信 息之后���,還包括:
[0042] 若重新確定所述請(qǐng)求信息的傳輸規(guī)則信息為可疑請(qǐng)求����,所述控制器對(duì)所述發(fā)送端 和接收端之間傳輸?shù)钠渌?qǐng)求信息對(duì)應(yīng)的消息進(jìn)行抽樣���,并將抽樣后的所述其他請(qǐng)求信息 對(duì)應(yīng)的消息發(fā)送到防火墻。
[0043] 由于當(dāng)在確定請(qǐng)求信息的傳輸規(guī)則信息為可疑請(qǐng)求后�,對(duì)全部的消息進(jìn)行抽樣, 增加了信息傳輸?shù)陌踩浴?br>[0044] 較佳地��,所述控制器確定所述請(qǐng)求信息的傳輸規(guī)則信息之后�����,還包括:
[0045] 所述控制器根據(jù)所述請(qǐng)求信息的傳輸規(guī)則信息,在確定不允許發(fā)送端能夠?qū)⑾?發(fā)送給接收端后�,通知與發(fā)送端相連的所有交換機(jī)。
[0046] 本發(fā)明實(shí)施例提供了一種更新訪問控制列表ACL的方法����,包括:
[0047] 防火墻在接收到控制器發(fā)送的請(qǐng)求信息后,根據(jù)預(yù)設(shè)的安全策略確定所述請(qǐng)求信 息的傳輸規(guī)則信息�;
[0048] 所述防火墻將傳輸規(guī)則信息或包含確定的傳輸規(guī)則信息的第二ACL發(fā)送給控制 器,以使所述控制器根據(jù)收到傳輸規(guī)則信息的或第二ACL�,更新用于判斷是否允許進(jìn)行請(qǐng)求 信息對(duì)應(yīng)的傳輸?shù)牡谝?ACL。
[0049] 由于防火墻能夠?qū)鬏斠?guī)則信息或包含確定的傳輸規(guī)則信息的第二ACL發(fā)送給 控制器��,使得控制器能夠根據(jù)收到傳輸規(guī)則信息的或第二ACL���,更新用于判斷是否允許進(jìn)行 請(qǐng)求信息對(duì)應(yīng)的傳輸?shù)牡谝?ACL�,從而降低了防火墻的負(fù)載壓力�����。
[0050] 較佳地�����,該方法還包括:
[0051] 所述防火墻在接收到發(fā)送端發(fā)給接收端的消息后,根據(jù)預(yù)設(shè)的安全策略�����,確定判 斷所述消息是否安全����;
[0052] 如果是,則根據(jù)消息中記錄的地址信息����,將所述消息發(fā)送給對(duì)應(yīng)的交換機(jī);
[0053] 否則�����,通知所述控制器拒絕傳輸所述消息����。
[0054] 較佳地,所述防火墻在接收到控制器發(fā)送的請(qǐng)求信息后����,根據(jù)預(yù)設(shè)的安全策略確 定所述請(qǐng)求信息的傳輸規(guī)則信息:
[0055] 若確定的所述請(qǐng)求信息的傳輸規(guī)則信息為可疑請(qǐng)求���,所述防火墻對(duì)發(fā)送端和接收 端之間傳輸?shù)钠渌?qǐng)求信息對(duì)應(yīng)的消息進(jìn)行檢測(cè)�����;
[0056] 其中����,所述發(fā)送端和接收端是用于傳輸所述請(qǐng)求信息對(duì)應(yīng)消息的發(fā)送端和接收 端。
[0057] 較佳地�����,所述防火墻將傳輸規(guī)則信息或更新后的第二ACL發(fā)送給控制器���,用于更 新第一 ACL后�����,還包括:
[0058] 所述防火墻根據(jù)預(yù)設(shè)的安全策略���,對(duì)到來(lái)自所述控制器的抽樣消息進(jìn)行檢測(cè);
[0059] 所述防火墻在檢測(cè)到所述抽樣消息為可疑消息后�,通知所述控制器。
[0060] 本發(fā)明實(shí)施例提供了一種確定傳輸路徑的控制器����,包括:
[0061] 第一確定模塊�,用于在接收到由發(fā)送端發(fā)送的用于申請(qǐng)進(jìn)行通信的請(qǐng)求信息后�, 根據(jù)所述請(qǐng)求信息,從第一訪問控制列表ACL中確定請(qǐng)求信息的傳輸規(guī)則信息���;
[0062] 第二確定模塊��,用于根據(jù)所述傳輸規(guī)則信息��,在確定發(fā)送端能夠?qū)⑾l(fā)送給接 收端后�����,確定發(fā)送端到接收端的傳輸路徑��;
[0063] 通知模塊�,用于將所述傳輸路徑通知給傳輸路徑中的交換機(jī)�。
[0064] 較佳地,所述第一確定模塊還用于:
[0065] 在接收到由發(fā)送端發(fā)送的用于申請(qǐng)進(jìn)行通信的請(qǐng)求信息后�����,根據(jù)所述請(qǐng)求信息無(wú) 法從所述第一 ACL中確定請(qǐng)求信息的傳輸規(guī)則信息����,將所述請(qǐng)求信息發(fā)送給防火墻,并在 接收到所述防火墻發(fā)送的所述請(qǐng)求信息的傳輸規(guī)則信息后��,根據(jù)所述請(qǐng)求信息的傳輸規(guī)則 信息更新所述第一 ACL�����,從所述第一 ACL中確定請(qǐng)求信息的傳輸規(guī)則信息��;
[0066] 所述第二確定模塊還用于:
[0067] 在接收到由發(fā)送端發(fā)送的用于申請(qǐng)進(jìn)行通信的請(qǐng)求信息后�,根據(jù)所述傳輸規(guī)則信 息,在確定發(fā)送端